电信网和互联网管理安全等级保护要求

电信网和互联网管理安全等级保护要求

1范围

本标准规定了公众电信网和互联网的管理安全等级保护要求。

本标准适用于电信网和互联网安全防护体系中的各种网络和系统。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本．凡是不注日期的引用文件，其最新版本适用于本标准。

3术语和定义

下列术语和定义适用于本标准。

3.1

电信网 Telecom Network

利用有线和，或无线的电磁、光电网络，进行文字、声音、数据、图像或其他任

何媒体的信息传递的网络，包括固定通信网、移动通信网等。

3.2

互联网 Internet

泛指由多个计算机网络相互连接而形成的网络，它是在功能和逻辑上组成的大型计算机网络。

3.3

安全等级Security Classification

安全重要程度的表征．重要程度可从网络受到破坏后，对国家安全、社会秩序、

经济运行、公共利益、网络和业务运营商造成的损害来衡量。

4管理安全等级保护要求

4.1第1级要求

不作要求。

4.2第2级要求

4.2.1安全管理制度

a)应制定安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等；

b)应对安全管理活动中重要的管理内容建立安全管理制度；

c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。

4.2.1.2制定和发布

a)应指定或授权专门的部门或人员负责安全管理制度的制定；

b)应组织相关人员对制定的安全管理制度进行论证和审定；

c)应将安全管理制度以某种方式发布到相关人员手中。

4.2.1.3评审和修订

应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订。

4.2.2安全管理机构

4.2.2.1岗位设置

a)应设立安全主管、安全管理各个方面的负责人岗位，定义各负责人的职责；

b)应设立系统管理人员、网络管理人员、安全管理员岗位，定义各个工作岗位的职责。

4.2.2.2人员配备

应配备一定数量的系统管理人员、网络管理人员、安全管理员等。

4.2.2.3授权和审批

a)应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络

系统接入和重要资源的访问等关键活动进行审批；

b)应针对关键活动建立审批流程，并由批准人签字确认。

4.2.2.4沟通和合作

a)应加强各类管理人员之间、组织内部机构之间以及网络安全职熊部门内部的合作与

沟通；

b)应加强与相关外部单位的合作与沟通。

4.2.2.5审核和检查

应由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、数

据备份等情况。

4.2.3.1人员录用

a)应指定或授权专门的部门或人员负责人员录用；

b)应规范人员录用过程，对被录用人员的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核；

c)应与从事关键岗位的人员签署保密协议。

4.2.3.2人员离岗

a)应规范人员离岗过程，及时终止离岗员工的所有访问权限；

b)对于离岗人员，应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

c)对于离岗人员，应办理严格的调离手续。

4.2.3.3人员考核

应定期对各个岗位的人员进行安全技能及安全认知的考核。

4.2.3.4安全意识教育和培训

a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；

b)应告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员进行惩戒；

c)应制定安全教育和培训计划，对网络安全基础知识、岗位操作规程等进行培训．

4.2.3.5外部人员访问管理

应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监

督，并

登记备案。

4.2.4安全建设管理

4.2.4.1定级

a)应明确网络的边界和安全保护等级

b)应以书面的形式说明网络确定为某个安全等级的方法和理由；

c)应确保网络的定级结果经过相关部门的批准。

4.2.4.2安全方案设计

a)应根据网络的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；

b)应以书面形式描述对网络的安全保护要求、策略和措施等内容，形成网络的安全方案；

c)应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案；

d)应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进

行论证和审定，并且经过批准后，才能正式实施。

4.2.4.3产品采购和使用

a)应确保安全产品采购和使用符合固家的有关规定；

b)应确保密码产品采购和使用符合国家密码主管部门的要求；

c)应指定或授权专门的部门负责产品的采购。

4.2.4.4自行软件开发

a)应确保开发环境与实际运行环境物理分开；

b)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

c)应确保提供软件设计的相关文档和使用指南，并由专人负责保管。

4.2.4.5外包软件开发

a)应根据开发需求检测软件质量；

b)应要求开发单位提供软件设计的相关文档和使用指南；

c)应在软件安装之前检测软件包中可能存在的恶意代码。

4.2.4.6工程实施

a)应指定或授权专门的部门或人员负责工程实施过程的管理；

b)应制定详细的工程实施方案，控制工程实施过程。

4.2.4.7测试验收

a)应对系统进行安全性测试验收：

b)在测试验收前应根据设计方案或合同要求等制订测试验收方案，在测试验收过程中

应详细记录测试验收结果，并形成测试验收报告；

c)应组织相关部门和相关人员对网络测试验收报告进行审定，并签字确认。

4.2.4.8交付

a)应制定网络交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；